新規攻撃にも動じないネットワークを!

2008年3月28日(金)
野川 裕記

ActiveSensorとは

Think ITの2008年3月の特集「ネットワーク教習所」の金曜日は、企業システムネットワークに導入することで効果のある機器やサービスをさまざまな視点から 取り上げ、つないだ効果を学びます。今回は、セキュアウェアの提供する「ActiveSensor(アクティブセンサ、以下AS)」をつないでガッテンし ましょう。

ASはセキュアウェアが2007年7月より販売するセキュリティアプライアンスです。このアプライアンスには、2つのコアテクノロジーが組 み込まれています。1つはシェルコードを用いた遠隔地からのシステム乗っ取り攻撃(Take Over Attack:TOA)を検知する画期的な技術「ASHULA(日本名:エイシュラジェイピー)」、もう1つはネットワーク経路上で TCPストリームを再構築する技術「Platform7」です。ASでは、これら2つの技術がFPGA(Field Programmable Gate Array)上にハードウェア実装されています。

なおセキュアウェアは、大阪大学サイバーメディアセンターにて創案されたアイデアと基本特許をもとに、2004年4月に設立された大学発ベンチャー企業です。今回は、ASをネットワークにつないだ場合の効果や、この2つの最先端技術について紹介していきましょう。

図1:ActiveSensor外観

ActiveSensorをどう使うか

ASは、TOAに関連する通信をすべて記録して解析します。使用に関しては、ネットワークにASを接続する「インライン」、特定のポートをミラーポートとしてリアルトラヒックをコピーして出力させ、そのポートにASを接続する「ミラーリング」の両方に対応可能です。

インラインでの動作モードには、IPS(Intrusion Prevention System)モードとIDS(Intrusion Detection System)モードの2つがあります。IPSモードではTOAを検知すると同時に防御することができ、このときのスループットは1Gbpsで、遅延は 10マイクロ秒程度です。他方IDSモードの場合、攻撃の防御はできませんが、ハニーポットと組み合わせることでTOAの発生を検知し、TOA以後の通信 を記録し詳細な分析をすることができます。

ASは、ログの解析などの人手のかかるプロセスを簡素化することができます。なぜなら、ASHULAが極めて高精度でシェルコードを検知できるからです。

例えば、ボットの感染によってホスト端末にマルウェアがダウンロードされた場合、そのマルウェアを自動的に切り出すことができます(次ペー ジの図2)。さらにASはホストCPU側に管理用ネットワークのインターフェースを備えていますから、マルウェア情報を他のサーバに自動で通知することが できます。

ミラーリング接続を利用する場合は、2ポートでも1ポートでもミラーリング使用が可能です。2ポートミラー接続の場合、ミラーリングハブま たはネットワークタップを使用し、監視対象ポートの上り下りの通信をそれぞれ別のポートにミラーリングして、ASを接続します。2ポートミラー接続では ASの監視ポート1と監視ポート2の両方を使用します。

1ポートミラー接続の場合、ミラーリングハブを使用し、監視対象ポートの上り下りの通信を単一のポートにミラーリングして、ASを接続します。1ポートミラー接続の場合は、ASの監視ポート0だけが有効となります。

では、次にASで実行できる解析について紹介していきましょう。

株式会社セキュアウェア

取締役 兼 東京マーケティングスタジオ所長
セキュアウェアのマーケティング担当取締役として、ActiveSensorの市場開拓を精力的に行っている。先進セキュリティ技術に興味を持っていただ けるお客さまを回り、セキュアウェアのコア技術であるAshulaとPlatform7の啓発・宣伝活動に勤しんでいる。お客様のニーズに耳を傾け、開発 課題の集約に努めるとともに、フィールドエンジニアとして現場に赴き、技術説明や設定調整もこなしている。 

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています